Добрый вечер.
Так сложилось, что понадобилось настроить две ТД в режиме моста (WDS).
Точки - дешевые д-линки (DAP-1360), но проблема в том что это совершенно разные устройства. Одна из них 2012 года и имеет аппаратную ревизию B1, вторая - современная, "недоделанный" роутер, ревизия E1. Соответственно, совершенно разное железо и софт.
Так вот, мне удалось их "снюхать" исключительно в режиме WDS без секьюрности, т.е. введены только взаимные MAC-адреса точек, а режим шифрования моста - Open. По WPA дружить отказываются - просто не видят друг друга.
Возникает вопрос: такой мост вообще можно юзать в продуктиве? По идее, вклиниться никто не должен, потому что идет защита маками и на администрирование точки стоит пароль. Но использовать хотят на открытой местности, через двор. Стоит ли?

(0) <идет защита маками >

не поможет если захотят, как минимум сниффером будет виден весь обмен, а подменить мак проблемы не составляет.

учитывая экономию на железе, заводить разговор о том что можно через мост VPN просунуть (или там ipsec какой) не стоит?

А зачем в режиме моста? Почему не сделать одно устройство точкой доступа, второе клиентом?

(1) не, муторно. Речь идет о том что с ип-камер видео хотят смотреть из автосервисных боксов в офисе. Со стороны боксов точка, свитч и три камеры проводами, vpn держать нечем. Проще купить вторую точку новую. В целом - все понятно, спасибо.
(2) за точкой в client-mode нельзя поставить свитч, и вообще режим это нестабильный. Пару раз пробовал - не понравилось как работает

так если в этой подсети только камеры, на них стоят пароли на точках тоже, дыр в админках точек нет, то пускай обвзламываются наздоровье

а видео подсматривать, я думаю не такая великая затея чтобы комуто интересно стало

(5) меня беспокоит не видео, а то, что через точку со стороны офиса залезут на компы предприятия.

камеры и точки в той же сети что и все остальное, свитчи неуправляемые, роутер только в инет, в общем обычный ларек

любой самый простой роутер достаточно воткнуть между мостом и основной сетью, и пробросить порты по которым видео идёт

nat никого внутрь сети не пустит

(8) Это ясно, по затратам оно то же самое что взять вторую точку той же ревизии и настроить защиту WPA2 со здоровым ключом. В целом все понятно, спасибо за помощь.

ща еще посмотрю, мож у старой точки версию софта посвежее подниму и после этого они снюхаются... хотя вряд ли, конечно

(9) да прокатит скорее даже бушный роутер без вайфая типа dir-100

(11) которые по 100р за кг найти можно

(0) Беспроводное подключение изначально небезопасное.

(13) это понятно. Оно и проводное небезопасное, если нет возможности охранника поставить смотреть за каждым метром кабеля. Ибо можно врезать хаб и иметь все пакетики :)

(14) Насколько я понимаю в проектировании систем видеонаблюдения - "врезать хаб" в систему занимает больше времени, чем охрана найдет "врезчиков".

(15) нет никакой охраны. Кинули кабель (пробросили вайфайный мост) и забыли. Говорю же - ларёк.

просто люди хорошие. И нужно сделать им недорого, чтобы поработало и проблем не было. Вторую точку берём и строим защищённый вайфай, вопрос решён.

(17) Дешевы/Быстро/Качественно - можно выбрать только 2 пункта.

(0) Вы о чем вообще?
Сначала определитесь у вас мост или WDS?
Это абсолютно разные и никак не совместимые вещи.

(3) "за точкой в client-mode нельзя поставить свитч"
Это еще почему?

(19) я все верно и понятно написал. В статье в Вики про wds явно написано - один из режимов работы - режим беспроводного моста. Это и имелось в виду. Какой мост имеете в виду вы, я не знаю.

(21) Мост это мост - прозрачный пропуск трафика между двумя устройствами. Две точки работают по WiFi между собой, соединяя сегменты проводной сети. Это соединение двух устройств. Не более.


WDS это репитер - ретрансляция сигнала WiFi.
Точки работают между собой одновременно обслуживая клиентов.

Мост использовать можно.
WDS используют только в крайних случаях когда на скорость наплевать. Ибо скорость просаживается в разы.

"По идее, вклиниться никто не должен, потому что идет защита маками и на администрирование точки стоит пароль." - берем любой WiFi клиент, включаем неразборчивый режим, и слушаем эфир.
Какая разница для какого он мака?
Да и любой мак адрес себе поставить не проблема.

А вот опасно это для вас или нет - никто кроме вас не знает.

В некоторых организациях в принципе пофиг - данные не критичные пусть слушают.
А в некоторых передают конфиденциальную информацию, и появляется опасность ее утечки.

(22) хорошо. Мне надо объединить две сети через двор без проводов. С обеих сторон свитчи и более одного устройства в сети. Как это сделать без wds?

(25) С одной стороны - железка в режиме точки доступа. С другой - железка в режиме клиент. В клиентской железке включается бридж между wlan и lan.

(26),(2),(20) Смотрите... уже довольно давно, году в 2009, мне попалась статья с описанием основных режимов работы беспроводных устройств. Там было довольно подробно написано про режим client mode точек доступа. В частности, было написано что режим этот не очень стандартный, сильно зависит от фирмы-производителя и от аппаратной реализации, не во всех устройствах он даже есть (это правда), и главное - за точкой в режиме клиента должно быть только одно сетевое устройство с одним маком. Свитч и несколько устройств - вроде как нельзя.
Вранье?

если это не соответствует действительности, я попробую, конечно.

(27)  "и главное - за точкой в режиме клиента должно быть только одно сетевое устройство с одним маком"
В этом нет никакого смысла и это противоречит логике сетевых взаимодействий.

(29) И тем не менее:
http://ftp.dlink.ru/pub/Wireless/knowlegebase/f03.pdf
поищите "wireless client mode", там тоже явно это написано. Только один компьютер с помощью сетевого кабеля. Скопипастить не могу, криво вставляется

вы сами делали? Получалось? Я честно скажу - не делал. Прочитал статью и узбагоился насчет client mode.

Если кто-то владеет информацией или практическим опытом - расскажите, поделитесь ссылками. У меня информация - вот такая, возможно, она неверная или устаревшая. Я всегда мосты на WDS делал.

(22) WDS это репитер - ретрансляция сигнала WiFi.
Точки работают между собой одновременно обслуживая клиентов.
---
Вообще-то WDS - это Wireless Distributed System, механизм объединения точек доступа в одну сеть без проводов. Клиентов в этом режиме они обслуживать могут (это иногда обзывают WDS+AP, и это действительно не очень хороший режим работы), но совершенно не обязаны. Посмотрите хотя бы статью на вики, или, если вы ее не любите, другие источники, везде это четко написано.

(25) Сделать мост. ОБычный, банальный мост.

(27) Не знаю где вы это прочитали, но это полный бред.

(30) Да, написано-
"В этом режиме к точке доступа может быть подключен только один компьютер(с помощью сетевого кабеля)"

А знаете почему?

Да потому что в этой модели ОДИН порт под витую пару!
И более одного компьютера подключить просто невозможно физически.
О чем собственно и говорится.
Подключите вместо одного компьютера свич, и цепляйте хоть тысячу компьютеров.

(31)Я сделал уж не помню сколько мостов, некоторые на вполне приличные дистанции.
Использовал в основном микротики и убикьюти, но бывали случаи и железки типа длинка.

И сделать мост можно только одним способом -
Точка доступа вещающая для одного клиента, и клиент этой точки доступа.
Больше вариантов построения моста нет.

А релей это нифига не мост, даже близко.

(37) что ж, это в корне меняет дело. Попробуем тогда таким образом.

http://s00.yaplakal.com/pics/pics_original/4/6/3/2920364.jpg

(38) Вообще делать мост на таких AP не самое лучшее занятие.
DAP-1360 это обычная офисная AP со штыревой антенной которая светит во все стороны.

Сделать мост конечно можно, но на очень небольшую дистанцию, и качество связи будет не лучшим.
Передатчик будет светить во все стороны, в сторону приемника будет идти очень малая часть мощности, да еще и приемник будет собирать шум со всех сторон своей всенаправленной антенной.
В итоге мост будет хреново работать, и эфир загадите так, что другим в эфире станет не комфортно работать.


А направленную антенну цеплять к данной AP нет смысла чисто экономически - дороже выйдет чем тот же микротик или убикьюти в комплекте с антенной.

(40) Направленная антенна "двойной квадрат" делается из полуметра медной проволоки, металлической или стеклотекстолитовой пластины и куска соответствующего кабеля с разъемом.

(41) А баночная антенна делается из кофейной банки, и пары сантиметров медного провода.
И я умею делать и ту и другую.

Только вот если я ее буду делать, по цене она обойдется заказчику еще дороже чем заводская.
Хотя по качеству будет хуже.

Какой смысл заказчику платить мне за кустарную антенну больше чем за заводскую?

(40) там расстояние метров 50. На бокс таки в свое время купили и направили на офис дешевую направленную антенну, как раз двойной квадрат. В офисе поставить антенну не осилили, используется штатная. Все работало года четыре, пока точку в боксе не залило водой с протекшей крыши. На бокс, чтобы точку спрятать, денег нет тоже :(

(43) Забей болт - нет там денег. Зачем опу рвать?

(44) это вопрос другой, тому, что я этим занимаюсь - есть причины.
(34)-(37) спасибо, теперь буду делать правильно.